计算机网络安全防护中防火墙的局限性
摘要:针对计算机网络安全防护当中防火墙的局限性,介绍了计
算机网络安全中常见的攻击手段,如网络通信攻击手段的表现形式
和网络系统自身攻击手段介绍,探讨了安全传统网络防火墙的局限
性,普通应用程序加密与防火墙的检测和web应用程序与防范能力。
对用户使用计算机网络的安全性提供了可靠的网络服务环境。
关键词:计算机网络 安全防护 防火墙
中图分类号:tp393.08 文献标识码:a 文章编号:
1007-9416(2012)08-0166-01
当今时代,是高科技的网络时代,拥有安全、可靠的计算机网络
环境是用户梦寐以求的愿望,因为安全可靠是保证工作性能的基
础,因此,计算机的网络安全是优质公共事业服务的环境,它可以
使企事业单位利用计算机和网络的办公、生产、经营活动有序,并
可以使计算机网络可以规范的为社会效益与经济效益服务。网络技
术的发展也对计算机网络的综合安全性提出了严峻的考验,信息化
的高科技时代越来越离不开安全可靠的网络化。但由于计算机网络
自身的特性,如自由性、广阔性、开放性制约着必然存在较多的安
全漏洞、安全隐患,也使不法分子和一些黑客由于利益的驱动,是
他们利用技术手段对计算机的软件程序进行威胁攻击,通过非法的
手段窃取或破坏具有价值的资料,这些资料对于拥有者也可能是非
常重要的私人信息、重要的数据,由于黑客的攻击致使网络服务中
断,由于感染病毒,致使计算机的运行速率减慢甚至是将计算机的
整体系统受到彻底的崩溃。
1、计算机网络安全中常见的攻击手段
在应用的计算机网络系统中,它们的运行平台空间可以传输与存
储海量的数据,这种存储方便的功能,同时极有可能被非法盗用、
篡改或暴露,就是在正常的使用环境中稍不留神,也可能受到黑客
们的攻击,他们的攻击手段一般就是采用监听、假冒、扫描、篡改、
恶意攻击、阻隔服务等许多方式。
1.1 网络通信攻击手段的表现形式
计算机网络平台为不同地域、空间的人们创设了共享交流的工具,
当用户通过网络进行通信联络交流时,如果没有设置有效的保密防
护措施,同样位于网络中的其他人员便有可能偷听或获取到通信内
容。该类窃取信息内容的攻击方式主要通过对计算机系统与网络信
息进行监听进而获取相关通信内容。网络黑客常常利用该类监听手
段对其想要获取信息的对象展开攻击,窃取用户账号、网址或密码,
可能导致重要保密信息的泄漏。例如,操作应用系统的主体类型、
ip地址、具体开放的tcp端口、口令信息、系统用户名等内容。黑
客们还会利用假冒身份手段对各类业务应用进行伪造,通过对各类
金融业务信息的伪造、数据篡改、更改金融业务信息流时序、次序
与流向,对其金融信息的综合完整性进行破坏,假冒合法用户身份
对信息进行肆意篡改并开展金融欺诈等。
1.2 网络系统自身攻击手段介绍
排除通信过程中相关信息安全问题外,计算机网络系统自身也会
受到一些不良恶意程序的威胁攻击,例如病毒攻击、木马、蠕虫攻
击、逻辑炸弹攻击等。这些黑客们向网络系统大量发送ping包进
向服务器进行攻击,使网络系统服务器由于长期处于超负荷工作状
态,致使相关的服务器出现瘫痪问题。另外入侵者还可通过对网络
系统发送不良电子邮件,借助网络系统传播功能令公司整体网络的
持续服务与正常运行受到不同程度的影响,还有可能令整体网络系
统被不良破坏。随着信息技术的日新月异,网络安全已被摆上日益
突出的位置。
2、安全网络防火墙的局限性
在计算机网络中有不同类型的防火墙。这种称作防火墙的硬件是
计算机系统自身的一部分,通过网线将因特网和计算机连接起来。
防火墙可以使用在独立的机器上运行,也可以将这个机器作为支持
网络的所有计算机的代理和防火墙,但是我们不要以为在机算机设
备中运行了防火墙,计算机网络安全就万事大吉了,放火墙还有许
多局限性。
2.1 普通应用程序加密防火墙无法检测
网络防火墙它不是现实中的障碍物,它是计算机的一个软件。只
有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完
全匹配时,防火墙才能识别和截获攻击数据。如果采用常见的编码
技术,就能够将恶意代码和其他攻击命令隐藏起来,转换成某种形
式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。
这种攻击代码具有较强的破坏功能,只要与防火墙规则库中的不一
致,就能够躲过网络防火墙的防护。
2.2 加密的web应用程序无法检测
网络防火墙是于1990年发明的,这种用于检测的防火墙,是基于
网络层tcp和1p地址,但随着计算机的发展,由于网络防火墙对
于加密的ssl流中的数据是不可见的,防火墙无法迅速截获ssl数
据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防
火墙,根本就不提供数据解密的功能。
2.3 对于web的应用程序防火墙能力不足
对于常规的企业局域网的防范,虽然通用的网络防火墙仍占有很
高的市场份额,但对于新近出现的上层协议,如xml和soap等应
用的防范,网络防火墙就显得有些力不从心。即使是最先进的网络
防火墙,在防范web应用程序时,由于无法全面控制网络、应用程
序和数据流,也无法截获应用层的攻击。
2.4 防火墙的应用防护只适用于简单情况
先进网络防火墙供应商,虽然提出了应用防护的特性,但只适用
于简单的环境中。对于实际的企业应用来说,这些特征存在着局限
性。有些防火墙供应商,声称能够阻止缓存溢出,但是,如果一个
程序或者是一个简单的web网页,防火墙具有防护的局限性只能屏
蔽。
2.5 防火墙无法扩展深度检测功能
设置的网络防火墙,如果针对所有网络和应用程序流量的深度检
测功能,防火墙是无法高效运行的,虽然一些网络防火墙供应商采
用的是基于asic的平台,基于网络的a-sic平台对于新的深度检
测功能是无法支持的。
3、结语
基于计算机网络安全的现实重要性只有认清形势、合理明晰影响
网络安全的常见攻击手段、原理与方式,深入探索保护网络安全的
有效防范技术策略,才能有效提升网络系统综合安全性能,令各项
服务管理事业在健康、优质的网络信息环境中实现可持续的全面发
展。
参考文献
[1]林中良.计算机网络安全防护技术的研究.硅谷,2012年
(1):107转68.
[2]王玉东,胡玉峰.传统网络防火墙的局限性.农业发展与金
融,2005年(6):71.
计算机网络安全防护中防火墙的局限性
摘要:针对计算机网络安全防护当中防火墙的局限性,介绍了计
算机网络安全中常见的攻击手段,如网络通信攻击手段的表现形式
和网络系统自身攻击手段介绍,探讨了安全传统网络防火墙的局限
性,普通应用程序加密与防火墙的检测和web应用程序与防范能力。
对用户使用计算机网络的安全性提供了可靠的网络服务环境。
关键词:计算机网络 安全防护 防火墙
中图分类号:tp393.08 文献标识码:a 文章编号:
1007-9416(2012)08-0166-01
当今时代,是高科技的网络时代,拥有安全、可靠的计算机网络
环境是用户梦寐以求的愿望,因为安全可靠是保证工作性能的基
础,因此,计算机的网络安全是优质公共事业服务的环境,它可以
使企事业单位利用计算机和网络的办公、生产、经营活动有序,并
可以使计算机网络可以规范的为社会效益与经济效益服务。网络技
术的发展也对计算机网络的综合安全性提出了严峻的考验,信息化
的高科技时代越来越离不开安全可靠的网络化。但由于计算机网络
自身的特性,如自由性、广阔性、开放性制约着必然存在较多的安
全漏洞、安全隐患,也使不法分子和一些黑客由于利益的驱动,是
他们利用技术手段对计算机的软件程序进行威胁攻击,通过非法的
手段窃取或破坏具有价值的资料,这些资料对于拥有者也可能是非
常重要的私人信息、重要的数据,由于黑客的攻击致使网络服务中
断,由于感染病毒,致使计算机的运行速率减慢甚至是将计算机的
整体系统受到彻底的崩溃。
1、计算机网络安全中常见的攻击手段
在应用的计算机网络系统中,它们的运行平台空间可以传输与存
储海量的数据,这种存储方便的功能,同时极有可能被非法盗用、
篡改或暴露,就是在正常的使用环境中稍不留神,也可能受到黑客
们的攻击,他们的攻击手段一般就是采用监听、假冒、扫描、篡改、
恶意攻击、阻隔服务等许多方式。
1.1 网络通信攻击手段的表现形式
计算机网络平台为不同地域、空间的人们创设了共享交流的工具,
当用户通过网络进行通信联络交流时,如果没有设置有效的保密防
护措施,同样位于网络中的其他人员便有可能偷听或获取到通信内
容。该类窃取信息内容的攻击方式主要通过对计算机系统与网络信
息进行监听进而获取相关通信内容。网络黑客常常利用该类监听手
段对其想要获取信息的对象展开攻击,窃取用户账号、网址或密码,
可能导致重要保密信息的泄漏。例如,操作应用系统的主体类型、
ip地址、具体开放的tcp端口、口令信息、系统用户名等内容。黑
客们还会利用假冒身份手段对各类业务应用进行伪造,通过对各类
金融业务信息的伪造、数据篡改、更改金融业务信息流时序、次序
与流向,对其金融信息的综合完整性进行破坏,假冒合法用户身份
对信息进行肆意篡改并开展金融欺诈等。
1.2 网络系统自身攻击手段介绍
排除通信过程中相关信息安全问题外,计算机网络系统自身也会
受到一些不良恶意程序的威胁攻击,例如病毒攻击、木马、蠕虫攻
击、逻辑炸弹攻击等。这些黑客们向网络系统大量发送ping包进
向服务器进行攻击,使网络系统服务器由于长期处于超负荷工作状
态,致使相关的服务器出现瘫痪问题。另外入侵者还可通过对网络
系统发送不良电子邮件,借助网络系统传播功能令公司整体网络的
持续服务与正常运行受到不同程度的影响,还有可能令整体网络系
统被不良破坏。随着信息技术的日新月异,网络安全已被摆上日益
突出的位置。
2、安全网络防火墙的局限性
在计算机网络中有不同类型的防火墙。这种称作防火墙的硬件是
计算机系统自身的一部分,通过网线将因特网和计算机连接起来。
防火墙可以使用在独立的机器上运行,也可以将这个机器作为支持
网络的所有计算机的代理和防火墙,但是我们不要以为在机算机设
备中运行了防火墙,计算机网络安全就万事大吉了,放火墙还有许
多局限性。
2.1 普通应用程序加密防火墙无法检测
网络防火墙它不是现实中的障碍物,它是计算机的一个软件。只
有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完
全匹配时,防火墙才能识别和截获攻击数据。如果采用常见的编码
技术,就能够将恶意代码和其他攻击命令隐藏起来,转换成某种形
式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。
这种攻击代码具有较强的破坏功能,只要与防火墙规则库中的不一
致,就能够躲过网络防火墙的防护。
2.2 加密的web应用程序无法检测
网络防火墙是于1990年发明的,这种用于检测的防火墙,是基于
网络层tcp和1p地址,但随着计算机的发展,由于网络防火墙对
于加密的ssl流中的数据是不可见的,防火墙无法迅速截获ssl数
据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防
火墙,根本就不提供数据解密的功能。
2.3 对于web的应用程序防火墙能力不足
对于常规的企业局域网的防范,虽然通用的网络防火墙仍占有很
高的市场份额,但对于新近出现的上层协议,如xml和soap等应
用的防范,网络防火墙就显得有些力不从心。即使是最先进的网络
防火墙,在防范web应用程序时,由于无法全面控制网络、应用程
序和数据流,也无法截获应用层的攻击。
2.4 防火墙的应用防护只适用于简单情况
先进网络防火墙供应商,虽然提出了应用防护的特性,但只适用
于简单的环境中。对于实际的企业应用来说,这些特征存在着局限
性。有些防火墙供应商,声称能够阻止缓存溢出,但是,如果一个
程序或者是一个简单的web网页,防火墙具有防护的局限性只能屏
蔽。
2.5 防火墙无法扩展深度检测功能
设置的网络防火墙,如果针对所有网络和应用程序流量的深度检
测功能,防火墙是无法高效运行的,虽然一些网络防火墙供应商采
用的是基于asic的平台,基于网络的a-sic平台对于新的深度检
测功能是无法支持的。
3、结语
基于计算机网络安全的现实重要性只有认清形势、合理明晰影响
网络安全的常见攻击手段、原理与方式,深入探索保护网络安全的
有效防范技术策略,才能有效提升网络系统综合安全性能,令各项
服务管理事业在健康、优质的网络信息环境中实现可持续的全面发
展。
参考文献
[1]林中良.计算机网络安全防护技术的研究.硅谷,2012年
(1):107转68.
[2]王玉东,胡玉峰.传统网络防火墙的局限性.农业发展与金
融,2005年(6):71.